Kan het LinkedIn-lek wedijveren met de vijf grootste hacks ooit?
In het geval van LinkedIn werden zo’n 117 miljoen wachtwoorden ontfutseld; hoe weegt dat op tegen andere beruchte hacks in de digitale geschiedenis? We werpen een blik op de top vijf grootste datalekken volgens HaveIBeenPawned.com.
5. R2Games
In 2015 werden meer dan 2 miljoen gegevens onderschept van R2Games. Het online gameplatform hield onder andere IP-adressen en wachtwoorden bij die ‘hashed’ en ‘salted’ waren, wat betekent dat de gegevens beveiligd waren met een encryptiealgoritme, en dat de uitkomst van éénzelfde woord telkens een ander geëncrypteerd resultaat oplevert. Door een zwakke implementatie waren de gegevens echter makkelijk te kraken. Net zoals bij LinkedIn het geval was, bleek dit jaar dat veel meer gegevens buit waren gemaakt: het totaal komt nu op 13 miljoen wachtwoorden en IP-adressen.
4. 000webhost
Ook gratis hostingplatform 000webhost kreeg af te maken met een hack waarbij meer dan 13 miljoen gegevens gestolen werden. De aanval vond plaats in maart, maar werd pas maanden later ontdekt en tegen die tijd waren de gegevens al verspreid over het internet. De data bestond voornamelijk uit namen, emailadressen en wachtwoorden, die bovendien niet geëncrypteerd waren. In dat geval moeten de wachtwoorden zelfs niet gekraakt worden; het volstaat om ze te stelen.
3. Mate1.com
Hoewel nummer vijf en vier in deze top nog relatief dicht bij elkaar liggen in deze rangorde, springt de hack op de derde plaats eruit. Zo’n 27 miljoen gebruikers werden dit jaar de dupe van de hack op de datingsite Mate1.com. Deze keer ging het niet enkel om wachtwoorden, maar ook gevoelige accountinformatie zoals seksuele voorkeuren, jobs, alcohol- en drugvoorkeuren, salaris en meer. Volgens Motherboard zou de hacker eigenlijk de gegevens van 40 miljoen accounts gestolen hebben, maar het deel bots er al uit gesnoeid hebben voor hij ze te koop aan bood voor 20 bitcoin, omgerekend zo’n 7900 euro.
2. Ashley Madison
Datingsites blijken populair in de hackersgemeenschap. De beruchte Ashley Madison-hack deed vorig jaar heel wat stof opwaaien. Dat kwam niet alleen door de omvang van de hack, maar ook door de aard van de website. Met de slogan “Life is short. Have an affair.” richtte de datingsite zich namelijk voornamelijk op getrouwde koppels. Hackers ontvreemdden de gegevens van miljoenen accounts en dreigden ermee om alle gegevens openbaar te maken tenzij de site offline werd gehaald. Ashley Madison weigerde, en zo kwamen ongeveer 30 miljoen emailadressen, namen, wachtwoorden, woonplaatsen, telefoonnummers en betalingsgegevens online te staan. Het zorgde ervoor dat sites zoals WasHeOnAshleyMadison.com als paddenstoelen uit de grond schoten, waarna mensen massaal checkten of de naam van hun partner in de database was verschenen.
1. Adobe
Als het nieuws van de LinkedIn-hack insloeg als een bom, was de Adobe-hack uit 2013 het equivalent van een nucleaire ramp. De Adobe ID, username, het emailadres en wachtwoord van maar liefst 153 miljoen gebruikers werd gestolen. Bovendien werd ook gevreesd dat de kredietkaartinformatie van gebruikers gekaapt was. Het totaal van gegevens nam bijna 10 GB in. Om te vergelijken: het aantal gedupeerden overtreft de populatie van heel Rusland.
De gegevens waren niet voldoende beveiligd, en in plaats van hashed en salted, waren de data waarschijnlijk geëncrypteerd met DES of 3DES. Dat wilt zeggen dat er in plaats van een unieke ‘code’ voor elk wachtwoord, een regelmaat te ontdekken was in het algoritme. Als je één wachtwoord kon raden, had je de sleutel tot ze allemaal. Dat was zelfs niet zo moeilijk, aangezien de hints van gebruikers (“nummers 1-5”, “1×6” of “rijmt met achtwoord”) beschikbaar waren zonder enige vorm van encryptie.
Het beste advies
De LinkedIn-hack is niet de grootste hack aller tijden, maar had toch een uitzonderlijke omvang: met 117 miljoen slachtoffers verovert het nu een zesde plaats in de ranglijst van HaveIBeenPwned.com. Hoe omvangrijk de hack ook is, het advies achteraf blijft min of meer hetzelfde. Of je nu een van de benadeelden bent of niet, het loont altijd om een sterk wachtwoord te kiezen en nooit hetzelfde wachtwoord voor verschillende diensten te gebruiken.